翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Kerberos のサービスプリンシパル名 (SPNs) を設定する
Amazon で転送中は、Kerberos ベースの認証と暗号化を使用することをお勧めしますFSx。Kerberos は、ファイルシステムにアクセスするクライアントに最も安全な認証を提供します。
エイリアスFSxを使用して Amazon にアクセスするクライアントの Kerberos DNS 認証を有効にするには、Amazon FSx ファイルシステムの Active Directory DNS コンピュータオブジェクトのエイリアスに対応するサービスプリンシパル名 (SPNs) を追加する必要があります。は、一度に 1 つの Active Directory コンピュータオブジェクトにのみ関連付けSPNることができます。元のファイルシステムの Active Directory コンピュータオブジェクトに設定されたSPNsDNS名前に既存の がある場合は、まずそれらを削除する必要があります。
Kerberos 認証SPNsには次の 2 つが必要です。
HOST/aliasHOST/alias.domain
エイリアスが の場合finance.domain.com、次の 2 つの必須 がありますSPNs。
HOST/finance HOST/finance.domain.com
注記
Amazon FSx ファイルシステムの Active Directory (AD) DNS コンピュータオブジェクトHOSTSPNs用に新しい を作成する前に、Active Directory コンピュータオブジェクトのエイリアスHOSTSPNsに対応する既存の を削除する必要があります。エイリアスの が AD に存在する場合、Amazon FSx ファイルシステムSPNsに対して DNS を設定しようとするSPNと失敗します。
次の手順では、その方法を説明します。
元のファイルシステムの Active Directory DNS コンピュータオブジェクトSPNsで既存のエイリアスを検索します。
SPNs 見つかった既存の があれば削除します。
Amazon FSx ファイルシステムの Active Directory DNS コンピュータオブジェクトSPNsの新しいエイリアスを作成します。
必要な PowerShell Active Directory モジュールをインストールするには
-
Amazon FSx ファイルシステムが参加している Active Directory に参加している Windows インスタンスにログオンします。
管理者 PowerShell として を開きます。
次のコマンドを使用して PowerShell Active Directory モジュールをインストールします。
Install-WindowsFeature RSAT-AD-PowerShell
元のファイルシステムの Active Directory DNS コンピュータオブジェクトSPNsで既存のエイリアスを検索して削除するには
Active Directory のコンピュータオブジェクト上の別のファイルシステムに割り当てたエイリアスに DNS SPNsを設定している場合は、ファイルシステムのコンピュータオブジェクトSPNsに追加するSPNs前に、それらのエイリアスを削除する必要があります。
次のコマンドSPNsを使用して、既存の を検索します。を、ステップ DNS 1 でファイルシステムに関連付けたエイリアス
alias_fqdn## Find SPNs for original file system's AD computer object $ALIAS = "alias_fqdn" SetSPN /Q ("HOST/" + $ALIAS) SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])次のサンプルスクリプトを使用して、前のステップでHOSTSPNs返された既存の を削除します。
を、ステップ DNS 1 でファイルシステムに関連付けた完全なエイリアス
alias_fqdnを元のファイルシステムDNSの名前
file_system_DNS_name
## Delete SPNs for original file system's AD computer object $Alias = "alias_fqdn" $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name-
ステップ 1 DNS でファイルシステムに関連付けたエイリアスごとに、前の手順を繰り返します。 DNS エイリアスをファイルシステムに関連付ける
Amazon FSx ファイルシステムの Active Directory コンピュータオブジェクトSPNsで を設定するには
次のコマンドを実行して、SPNsAmazon FSx ファイルシステムに新しい を設定します。
を、Amazon がファイルシステムにFSx割り当てたDNS名前
file_system_DNS_nameAmazon FSxコンソールでファイルシステムDNSの名前を検索するには、ファイルシステム を選択し、ファイルシステムを選択し、ファイルシステムの詳細ページでネットワークとセキュリティペインを選択します。
DescribeFileSystems API オペレーションのレスポンスでDNS名前を取得することもできます。
を、ステップ DNS 1 でファイルシステムに関連付けた完全なエイリアス
alias_fqdn
## Set SPNs for FSx file system AD computer object $FSxDnsName = "file_system_DNS_name" $Alias = "alias_fqdn" $FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost) ##Use one of the following commands, not both: Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"} ##Or SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name注記
エイリアスの が元のFSxファイルシステムのコンピュータオブジェクトSPNの AD DNS に存在する場合、Amazon ファイルシステムの の設定は失敗SPNします。既存の の検索と削除については、SPNs「」を参照してください元のファイルシステムの Active Directory DNS コンピュータオブジェクトSPNsで既存のエイリアスを検索して削除するには。
-
次のサンプルスクリプトを使用して、新しい DNS がエイリアス用に設定SPNsされていることを確認します。この手順で前述したようにSPNs、レスポンスに HOST 2 つの
HOST/、、alias_fqdnHOST/が含まれていることを確認します。aliasを、Amazon がファイルシステムにFSx割り当てたDNS名前
file_system_DNS_nameDescribeFileSystems API オペレーションのレスポンスでDNS名前を取得することもできます。
## Verify SPNs on FSx file system AD computer object $FileSystemDnsName = "file_system_dns_name" $FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0] $FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost}) SetSpn /L ${FSxAdComputer}.Name -
ステップ 1 DNS でファイルシステムに関連付けたエイリアスごとに、前の手順を繰り返します。 DNS エイリアスをファイルシステムに関連付ける
